General, Usuarios

Seguridad

La seguridad de tu sitio web y tus datos personales siempre son prioritarios.  En esta página se describe lo que hacemos para ayudarte a proteger tu sitio web y tus datos personales, junto con pasos adicionales que te recomendamos para que tú también lo hagas.  

Tabla de contenido


Cómo protegemos tu sitio web y tus datos

Cifrado por defecto

Es fundamental que tengas un buen cifrado para asegurar la privacidad y seguridad de tu sitio web. Ciframos (con SSL) todos los sitios web de WordPress.com, como los dominios personalizados alojados en WordPress.com. Creemos que un buen cifrado es tan importante que no ofrecemos la opción de desactivarlo, ya que comprometería la seguridad de tu sitio web de WordPress.com. También hacemos redirecciones 301 de todas las solicitudes HTTP no seguras a la versión segura HTTPS. Obtén más información sobre HTTPS y SSL para tu sitio web.

Instalamos automáticamente un certificado SSL en tu sitio web. En raras ocasiones, puede ocurrir que la configuración específica de un sitio web impida que el certificado SSL funcione correctamente. Si tienes algún problema con tu certificado SSL, contacta con nosotros.


↑ Tabla de Contenido ↑

Cortafuegos

Ejecutamos cortafuegos y disponemos de procedimientos que nos avisan sobre intentos no autorizados para acceder a cuentas de WordPress.com.


↑ Tabla de Contenido ↑

Control de actividad sospechosa

Estamos constantemente vigilando el tráfico web y controlando la actividad sospechosa. También disponemos de medidas de seguridad para ayudaros a protegeros contra ataques de denegación de servicio distribuido (DDoS).


↑ Tabla de Contenido ↑

Pruebas de seguridad

Comprobamos frecuentemente la seguridad de nuestros servicios y buscamos posibles vulnerabilidades. También tenemos un programa de recompensas por búsquedas de errores a través de HackerOne para recompensar a los usuarios que encuentran errores y nos ayudan a mejorar la seguridad de nuestros servicios.


↑ Tabla de Contenido ↑

Copias de seguridad y recuperación de datos

Nuestros sistemas hacen copias de seguridad de los datos de los sitios web de WordPress.com cada día para que los podamos recuperar si por alguna razón se pierden (como en caso de una interrupción del suministro eléctrico o un desastre natural).


↑ Tabla de Contenido ↑

Nuestro equipo de seguridad

Tenemos un equipo de seguridad específico para proteger tus datos. Trabajan directamente con nuestros equipos de producto para solucionar posibles riesgos de seguridad y mantener nuestro fuerte compromiso con la protección de tus datos.

No hay ninguna forma de transmisión de datos por Internet ni ningún método de almacenamiento electrónico que sea absolutamente seguro. No podemos garantizar la seguridad absoluta de tu sitio web o cuenta. Nadie puede hacerlo.  Para nosotros es extremadamente importante mantener tus datos personales y tu sitio web bien protegidos.


Cómo puedes proteger tu sitio web y tus datos

También hay algunas cosas que tú puedes hacer para proteger tus datos (sigue leyendo).

↑ Tabla de Contenido ↑

Mantén tus secretos a salvo

El punto más débil de la seguridad de tu actividad online es tu contraseña. Es la clave para acceder a tu blog, correo electrónico, cuentas de redes sociales o cualquier otro servicio en línea que uses. Si tu contraseña es fácil de adivinar, tu identidad eonline es vulnerable.

Basta con que alguien adivine tu contraseña para poder eliminar todas tus entradas. Alguien podría dejar tu sitio web inservible, leer tus correos electrónicos o piratear tu dirección y suplantarte la identidad. Podrían arruinar todo por lo que has trabajado.


↑ Tabla de Contenido ↑

Elige una contraseña segura

Todas las contraseñas que usas tienen que ser fáciles de recordar y difíciles de adivinar. Un conjunto de números y caracteres aleatorio forman una contraseña difícil de adivinar, pero también difícil de recordar. Por otra parte, seguramente nunca olvidarás tu fecha de nacimiento o el nombre de tu primera mascota, pero este tipo de contraseñas son poco seguras, ya que son muy fáciles de adivinar.

En WordPress.com, puedes usar una contraseña muy larga con cualquier combinación de letras, números y caracteres especiales. El nivel de seguridad de tu contraseña y, por consecuencia, de tu blog, realmente depende de ti. Hemos redactado algunos consejos para crear contraseñas seguras.


↑ Tabla de Contenido ↑

Salida de tu cuenta

Puedes proteger tu cuenta cerrando la sesión cuando acabes de trabajar. Es especialmente importante hacerlo cuando trabajas en un ordenador público o compartida. Si no sales, podrían acceder a tu cuenta tan solo consultando el historial de navegación y volviendo a tu escritorio de WordPress.com.

Puedes proteger tu cuenta cerrando la sesión cuando acabes de trabajar.

Para salir de tu cuenta de WordPress.com, haz clic en tu Gravatar, que se encuentra en la parte superior derecha. A continuación, debajo de tu Gravatar, haz clic en Cerrar sesión


↑ Tabla de Contenido ↑

Controla el acceso al sitio web

WordPress.com ofrece una plataforma multiusuario muy completa. Aunque cada sitio web tiene solo un propietario, puedes tener tantos usuarios como quieras. Esto es ideal para blogs grupales con varios autores, para sitios web del tipo revista que tengan un flujo de trabajo editorial, o para cualquier otro sitio web grande en el que quieras compartir la carga administrativa.

Sin embargo, compartir la carga también significa compartir responsabilidades. Por eso, en WordPress.com, puedes definir varios perfiles para cada usuario que añades a tu sitio web. Los perfiles determinan el nivel de acceso de un usuario.

  • Colaborador: el perfil más limitado, ya que puede escribir borradores, pero no puede publicar entradas.
  • Autor: puede publicar entradas y subir imágenes, pero no puede modificar las entradas de otros usuarios.
  • Editores: no solo pueden editar y publicar las entradas de todos los usuarios, sino que también pueden moderar comentarios y gestionar categorías y etiquetas.
  • Administradores: tienen todo el control de un sitio web y pueden incluso eliminarlo.

Cuando añadas usuarios, intenta encontrar el perfil que mejor se adapte a lo que quieres que hagan en tu sitio web. Si configuras la cuenta de un usuario que solo tiene pensado contribuir en algunas entradas, asígnale el perfil de colaborador. Reserva los perfiles de autor y editor para los usuarios en los que confías y que estén involucrados a largo plazo en tu sitio web.

Y, por último, te recomendamos que seas muy estricto con el perfil de administrador. Cuando concedes el perfil de administrador de tu sitio web a otro usuario, es como si estuvieras dándole una copia de tus llaves para entrar en él. No es solo porque podrá entrar en tu sitio web y usarlo,  sino que el hecho de que haya otro juego de llaves aumenta significativamente el riesgo de que alguien piratee tu sitio web.

De hecho, te sugerimos que evites el perfil de administrador tanto como puedas. En casi todos los casos, el perfil de editor es la mejor opción.

Obtén más información en las páginas de soporte sobre cómo añadir usuarios y sobre los Roles de usuario.


↑ Tabla de Contenido ↑

Autenticación en dos pasos

Con la autenticación en dos pasos, puedes usar iOS, Android, Blackberry o cualquier dispositivo móvil que pueda recibir SMS como la única clave de acceso a tu blog. Después de registrarte en el servicio, cuando inicies sesión en tu blog deberás introducir un código de un solo uso generado específicamente para ello. Esto significa que, aunque alguien adivine tu contraseña, no podrá iniciar sesión si no dispone también de tu dispositivo móvil.

Puedes obtener más información sobre este servicio en la página de soporte Autenticación en dos pasos.


Elección de una contraseña segura

El punto más débil de cualquier sistema de protección de cuentas online suele ser la contraseña. En WordPress.com, nos esforzamos mucho en asegurarnos de que tu contenido esté protegido y sea seguro y de que solo tú puedas acceder a él.

No obstante, si otra persona puede averiguar o conseguir tu contraseña, podrá superar todas nuestras medidas de seguridad, ya que WordPress.com interpretará que se trata de ti. Esa persona podrá hacer todos los cambios que quiera en tu blog o cuenta de WordPress.com,  como eliminar tu contenido.

Para evitar que esto ocurra, puedes consultar en esta guía cómo crear contraseñas seguras que sean difíciles de averiguar o de conseguir. Lee los siguientes consejos y revisa bien tu contraseña. Si crees que no es lo suficientemente segura, te recomendamos cambiarla.


↑ Tabla de Contenido ↑

Las contraseñas tradicionales ya no son seguras

Las técnicas de descifrado de contraseñas han mejorado drástica y rápidamente en las últimas décadas, pero la forma en la que creamos contraseñas no ha evolucionado al mismo ritmo. Como resultado, los consejos más habituales para crear una contraseña segura hoy en día son muy anticuados y poco prácticos.

Una contraseña creada siguiendo estos consejos (como jal43#Koo%a) es fácil de descifrar para un ordenador y muy difícil de recordar y escribir para una persona.

Los últimos ataques de descifrado de contraseñas más efectivos pueden averiguar 350 mil millones de combinaciones por segundo, y este número aumentará de forma significativa en los próximos años.

Para crear una contraseña segura hoy en día hay que utilizar técnicas modernas y vamos a explicar dos de ellas en la siguiente sección.


↑ Tabla de Contenido ↑

Uso de métodos modernos

Hay muchos enfoques distintos para generar una contraseña segura, pero los mejores son los gestores de contraseñas y las frases de contraseña. Elige el que mejor se adapte a tu caso y lee su sección en este artículo para saber cómo empezar a usarlo.


↑ Tabla de Contenido ↑

El mejor método: Gestor de contraseñas

Se trata de una aplicación de software que se instala en el ordenador o el dispositivo móvil y genera contraseñas muy seguras que almacena en una base de datos protegida. Solo necesitas usar una frase de contraseña para acceder a la base de datos y el gestor introduce automáticamente tu nombre de usuario y tu contraseña en el formulario de acceso del sitio web en cuestión. Si solo tienes que acordarte de una contraseña, puedes hacerla tan aleatoria y difícil de adivinar como quieras.

De esta manera, no tienes que preocuparte por elegir una buena contraseña, recordarla o volver a escribirla. Este método es el más sencillo y seguro que existe hoy en día, y te recomendamos que lo uses.

Cómo usar un gestor de contraseñas

Existen muchas aplicaciones de gestión de contraseñas distintas. Elige la que quieras usar e instálala en tu ordenador. Estos son los pasos generales, pero puedes consultar la documentación de la aplicación en particular para obtener más detalles al respecto.

  1. Elige un gestor de contraseñas. Algunos de los gestores más populares son:
    • 1Password (de código cerrado, comercial)
    • LastPass (de código cerrado, gratuita/comercial)
    • Dashlane (de código cerrado, gratuita/comercial)
    • KeePass (de código abierto, gratuita)
    • RoboForm (código cerrado, comercial).
    • Puedes encontrar más opciones con tu buscador favorito.
  2. Instálalo en tu ordenador.
  3. Instala todas las extensiones o plugins diseñados para el navegador web que uses.
  4. Crea una contraseña maestra segura para abrir la base de datos de contraseñas. Consulta la sección Cómo crear una frase de contraseña de este documento para saber cómo hacerlo.
  5. Opcional: anota la contraseña maestra y guárdala en un lugar seguro, como una caja fuerte o de seguridad. Debes hacer una copia de seguridad por si olvidas la contraseña maestra.
  6. Opcional: comparte tu base de datos de contraseñas entre varios dispositivos con las herramientas integradas de la aplicación o mediante un servicio como SpiderOak. Si utilizas un servicio externo, asegúrate de tener una contraseña segura y habilita la autenticación en dos factores en la cuenta (si es posible).

Una vez que hayas configurado el gestor de contraseñas, ya puedes usarlo para generar contraseñas seguras. Busca la herramienta de generación de contraseñas integrada del gestor y configúrala para que cree entre 30 y 50 caracteres aleatorios con una mezcla de letras minúsculas y mayúsculas, números y símbolos.

generador-de-contraseñas

El resultado debería ser algo parecido a esto: N9}>K!A8$6a23jk%sdf23)4Q[uRa~ds{234]sa+f423@

Puede parecer complicada, pero recuerda que no tienes que recordarla ni escribirla, ya que el gestor de contraseñas lo hace todo automáticamente.


↑ Tabla de Contenido ↑

Un buen método: Frases de contraseña

Una frase de contraseña es similar a una contraseña, con la diferencia de que la primera se basa en un grupo aleatorio de palabras en lugar de solamente una. Por ejemplo, copiar indicar trampa brillante.

Dado que la longitud de la contraseña es uno de los factores principales que influyen en su nivel de seguridad, las frases de contraseña son mucho más seguras que las contraseñas tradicionales. Además, son más fáciles de recordar y escribir.

No son tan seguras como el tipo de contraseña generada por los gestores de contraseñas, pero siguen siendo una buena opción si no quieres usar un gestor de contraseñas. También son la mejor forma de generar la contraseña maestra para un gestor de contraseñas o para la cuenta de tu sistema operativo, ya que el gestor de contraseñas no puede rellenar automáticamente este tipo de contraseñas.

Cómo crear una frase de contraseña

Para crear una frase de contraseña hay que seguir unas reglas parecidas a las de las contraseñas tradicionales. Sin embargo, la frase no debe ser tan compleja porque su longitud compensa su simplicidad en cuanto a la seguridad.

  1. Elige 4 palabras aleatorias. Puedes usar el generador de frases de contraseña xkcd si lo deseas, pero lo mejor es hacerlo uno mismo.
  2. Puedes añadir espacios entre las palabras si lo deseas.

En este punto, deberías tener algo similar a esto: copiar indicar trampa brillante

Si te gusta tal cual está, puedes dejarlo aquí, o puedes hacerla más segura siguiendo estos pasos:

  1. Pon algunas de las letras en mayúscula.
  2. Añade algunos números y símbolos.

Después de aplicar estas reglas, tendrá un aspecto similar a este: Copiar indicar 48 Trampa (#) brillante

Prácticas desaconsejadas:

  • No coloques las palabras siguiendo un patrón predecible ni de manera que formen una frase correcta; si lo haces, será más fácil de averiguar.
  • No uses letras de canciones, dichos o cualquier otra frase que se haya publicado. Los atacantes tienen amplias bases de datos de obras publicadas para crear contraseñas.
  • No uses información personal. Aunque hagas combinaciones con letras y números, alguien que te conozca o que te pueda investigar en Internet podrá averiguar la contraseña fácilmente con esa información.

↑ Tabla de Contenido ↑

Consejos adicionales para los dos métodos

Además de tu cuenta de WordPress.com, hay otras cosas que debes tener en cuenta para proteger tu información cuando generes contraseñas.

  • No utilices la misma contraseña más de una vez. Los sistemas de muchos sitios web no protegen las contraseñas como deberían y los piratas suelen descifrarlas y acceder a cientos de millones de cuentas. Si usas la misma contraseña en varios sitios web, la persona que la descifre podrá acceder a tu cuenta en todos ellos. Como mínimo, asegúrate de tener contraseñas distintas en todos los sitios web que almacenen datos financieros, confidenciales o que se puedan usar para perjudicar tu reputación.
  • Asegúrate de que la contraseña de tu correo electrónico también sea segura. En muchos servicios online como WordPress.com, tu dirección de correo electrónico se usa para verificar tu identidad. Si un usuario malintencionado consigue acceso a tu correo electrónico, podrá cambiar tus contraseñas y acceder a tu cuenta fácilmente.
  • No compartas tus contraseñas. Aunque confíes en la persona con la que tengas intención de compartirla, ten en cuenta que un atacante puede interceptar o espiar esa transferencia, o piratear su ordenador. Si crees que alguien conoce tu contraseña, debes cambiarla de inmediato.
  • No envíes tu contraseña a nadie en un correo electrónico. Los correos electrónicos rara vez se encriptan, lo cual facilita relativamente la tarea a los atacantes. Los empleados de WordPress.com jamás te pedirán tu contraseña. Si tienes que compartir una contraseña, usa un método seguro de transferencia, como pwpush.com y configura el enlace de forma que caduque tras la primera visualización.
  • No guardes tus contraseñas en un navegador web. Normalmente no se almacenan de forma segura, por lo que es mejor usar un gestor de contraseñas. Consulta la sección sobre gestores de contraseñas para obtener más información.
  • No guardes contraseñas ni uses opciones tipo “Recuérdame” en un ordenador público. Si lo haces, la siguiente persona que utilice el ordenador podrá acceder a tu cuenta. Tampoco olvides salir o cerrar el navegador cuando hayas terminado.
  • No anotes tu contraseña. Si está escrita en alguna parte y alguien la encuentra, dejará de ser segura. En vez de eso, guarda las contraseñas en un gestor de contraseñas para que estén encriptadas. Consulta la sección sobre gestores de contraseñas para obtener más información. La excepción a esta regla consiste en guardar de forma segura las contraseñas que no se puedan recuperar (como la contraseña maestra o la de la cuenta de tu sistema operativo). Una buena manera de mantenerlas protegidas es guardarlas en una caja fuerte o de seguridad.
  • No cambies tus contraseñas, a menos que sospeches que están en riesgo. Si usas el tipo de contraseña que se recomienda en este artículo, cambiarla con frecuencia no reduce el riesgo de que la descifren. Como cambiarla puede ser tedioso, los usuarios se ven tentados a seguir prácticas desaconsejadas con tal de simplificar el proceso, lo cual aumenta su vulnerabilidad a los ataques. Si crees que alguien ha conseguido acceder a tu cuenta, cambiar la contraseña es una buena medida de seguridad.